常见问题 > 等保中的密评项目是什么?等保三级系统需要做密评吗

等保中的密评项目是什么?等保三级系统需要做密评吗

作者:小编 发表时间:2025-01-05 10:47

  “密评”是指对系统中涉及保密信息的部分进行的评估。等保中的密评项目是什么?密评机构出具密评报告,报告中包括信息系统基本情况、检测方法、检测结果、安全性等级、存在问题、改进措施等内容。用户在做等保的过程中有些行业也是需要涉及到要做好密评的工作,跟着小编一起了解下吧。

  等保中的密评项目是什么?

  ‌密评(商用密码应用安全性评估)‌是指对采用商用密码技术、产品和服务集成建设的网络和信息系统进行密码应用的合规性、正确性和有效性评估。具体来说,密评是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估,主要关注密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面‌。

  密评的背景和法律依据

  密评的法律依据主要包括《中华人民共和国密码法》和《商用密码管理条例》。根据这些法律法规,对使用商用密码的网络和信息系统进行安全性评估,确保其符合国家安全标准和技术规范‌。

  密评与等保的关系

  密评与等保(网络安全等级保护)之间存在紧密的联系和区别:

  ‌评估对象‌:密评的对象包括关键基础设施、第三级等级保护对象和部分重要的信息系统。这些对象同时也是等保和关基安全检测评估的对象‌。

  ‌评估周期‌:第三级以上的等级测评、关键基础设施、商用密码应用安全的评估周期均为每年至少一次‌。

  ‌评估内容‌:密评包括等保基本要求中关于密码相关的要求项,关基安全检测评估则包含了密评的所有测评内容‌。

  通过这些关系和区别,可以看出密评是等保制度的重要组成部分,两者共同确保网络和信息系统的安全。

等保中的密评项目是什么.jpg

  等保三级系统需要做密评吗?

  ‌等保三级系统需要进行密评,即商用密码应用安全性评估,以确保系统的合规性、正确性和有效性。

  密评的定义和对象

  密评全称是商用密码应用安全性评估,是指对采用商用密码技术、产品和服务集成建设的网络和信息系统进行评估。其对象包括重要信息系统、关键信息基础设施、网络安全等保三级及以上的系统。

  密评的依据和评分标准

  密评的主要依据是GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。在密评中,采用技术要求70分+管理要求30分的模式,通过密评的标准是60分以上且无高风险项。技术要求包括物理和环境安全(10分)、网络和通信安全(20分)、设备和计算安全(10分)、应用和数据安全(30分)。

  等保中的密评项目是什么?以上就是详细的解答,等保三级密评是指根据《信息安全等级保护管理办法》要求,对企业的信息安全风险进行评估和等级划定的过程。为了保障用户信息安全,积极做好等保密评工作必不可少。